[ トピックス ]
(2017/10/24 05:00)
攻撃対象の特定
前回まででIoTセキュリティの対策の難しさや情報セキュリティとの違いを説明した。セキュリティ対策には知見もコストも必要となることがおわかりいただけたのではないだろうか。紹介したような攻撃から利用者や製品、サービスを守れるような仕組みを準備し、利用者にとって価値の高い製品、サービスを提供することにより利用者の満足度が大きくなる。しかし、全方位的にセキュリティに対処しようとするとコストがかさむ。製品の耐久性、安全性を検討するときと同様に、利用者の使い方を十分に考慮すれば、対策の優先順位をつけ、対策コストを適正にできる。今回から3回にわたりセキュリティ対策の検討手順を紹介する。
検討手順の目的は、製品やサービスにどういう攻撃が起こりうるかを想定し、リスクの大きいものからコストを意識して対策することである。手順は (1) 攻撃対象(守るべきもの)の特定、(2)攻撃によるリスク評価、(3)対策の検討、からなる。今回は(1)を説明する【図】。
製品やサービスの情報・制御・機能・資源を列挙
まず、製品やサービスが持つ情報、制御、機能、資源を列挙する。過去の製品やサービスや類似のものにおいて既に対策されているものに関しても特定しておく。より簡単な対策や包括的な対策が考えられる場合や同じ対策でもこれまでよりも低コストで実現できる場合があるからである。
情報、制御、機能、資源の特定と列挙は簡単ではない。しかし、本連載2回目で説明したように、これらの価値が高いとより巧妙な攻撃の可能性があり、取るべき対策も変わってくる。また、想定外の使い方や盗難にあうなどして、通常とは異なる方法で情報、制御、機能、資源を攻撃された場合のリスクを想定することにもつながる。
製品やサービスが持つ情報、制御、機能、資源を列挙するときの考え方と例を順番に紹介する。情報は機器やサービスとして保持しているものであり、値、文字情報、画像、音声など形式は多岐にわたる。後の手順で分類が必要になるので、列挙の時点で、情報の誤りや改竄によって生命を脅かす可能性のある情報、犯罪などに使われ財産を失う可能性のある情報、機密情報(機密漏洩につながる情報)、個人情報やプライバシーに関わる情報、といった改竄(かいざん)、漏洩(ろうえい)により影響が大きい情報を列挙する。
データ定義書や設計書があれば、そこから選ぶ。最後に機器やサービスの入出力を確認すると網羅性が高まる。センサー、カメラ、スキャナー等からの入力、利用者からの入力、利用者への出力、ストレージなど他のシステムや機器からの入出力、ネットワーク経由での入出力、メディアやデバイスによる入出力、の各所を確認し、どのような情報がやりとりされるかを確認する。メンテナンス時やシステム管理のための特権命令による入出力も対象とする。
制御や機能もそれぞれ分類を
制御はコンピューターの命令を契機として制御対象に物理的運動をさせるものを指す。制御も情報と同様に悪意ある攻撃者に奪われると生命に関わる制御、財産に関わる制御、機密漏洩につながる制御、個人情報やプライバシーに関わる制御といった分類をしておく。システム構成図があれば、システムのどの構成要素が制御対象かを簡単に知ることができる。
機能は機器やシステムが利用者や他の機器やシステムに提供するコンピューター内での動作を指す。期待通り動作しない場合に、生命に関わる機能、財産に関わる機能、機密漏洩につながる機能、個人情報やプライバシーに関わる機能といったレベル分けをしておく。機能仕様書があれば、ここからそうした機能を選ぶ。
資源は設備、電源のようなエネルギー、原料や部品を指す。作業員のような人員があればそれも含める。資源は分類せず、これらの資源が悪意ある攻撃者により浪費されないかを次以降の手順で確かめる。資源を使った結果が生命に関わるかどうかは制御、または機能で確かめる。
情報、制御、機能、資源の抽出には、IPAのつながる世界の開発指針(https://www.ipa.go.jp/sec/publish/tn16-002.html)や「つながる世界の開発指針」の実践に向けた手引き(https://www.ipa.go.jp/sec/publish/tn17-002.html)も参考になる。
(毎週火曜日掲載)
【著者プロフィール】
(2017/10/24 05:00)